Partilhar via


O que é um ponto final privado?

Um ponto final privado é uma interface de rede que utiliza um endereço IP privado a partir da rede virtual. Esta interface de rede liga-o a um serviço de forma privada e segura com a tecnologia do Azure Private Link. Ao ativar um ponto final privado, está a trazer o serviço para a rede virtual.

O serviço pode ser um serviço do Azure, como:

  • Armazenamento do Azure
  • Base de Dados Azure Cosmos
  • Base de Dados SQL do Azure
  • O seu próprio serviço, usando o serviço Private Link.

Propriedades de ponto de extremidade privado

Um ponto de extremidade privado especifica as seguintes propriedades:

Propriedade Descrição
Nome Um nome exclusivo dentro do grupo de recursos.
Sub-rede A sub-rede a ser implantada, onde o endereço IP privado é atribuído. Para requisitos de sub-rede, consulte a seção Limitações mais adiante neste artigo.
Recurso de link privado O recurso de ligação privada para conexão usando um ID de recurso ou alias, a partir da lista de tipos disponíveis. Um identificador de rede exclusivo é gerado para todo o tráfego enviado para este recurso.
Sub-recurso alvo O subrecurso para conectar. Cada tipo de recurso de link privado tem várias opções para selecionar com base na preferência.
Método de aprovação da ligação Automático ou manual. Dependendo das permissões de controlo de acesso baseadas em funções do Azure, o seu ponto de extremidade privado pode ser aprovado automaticamente. Se você estiver se conectando a um recurso de link privado sem permissões baseadas em função do Azure, use o método manual para permitir que o proprietário do recurso aprove a conexão.
Solicitar mensagem Você pode especificar uma mensagem para que as conexões solicitadas sejam aprovadas manualmente. Esta mensagem pode ser utilizada para identificar um pedido específico.
Estado da ligação Uma propriedade de apenas leitura que especifica se o ponto de extremidade privado está ativo. Só endpoints privados num estado aprovado podem ser utilizados para enviar tráfego. Mais estados disponíveis:
  • Aprovado: A conexão foi aprovada automática ou manualmente e está pronta para ser usada.
  • Pendente: A conexão foi criada manualmente e está pendente de aprovação pelo proprietário do recurso de link privado.
  • Rejeitada: a conexão foi rejeitada pelo proprietário do recurso de link privado.
  • Desconectado: a conexão foi removida pelo proprietário do recurso de link privado. O ponto de extremidade privado passa a ter um caráter informativo e deve ser eliminado para limpeza.
  • Ao criar pontos de extremidade privados, considere o seguinte:

    • Os endpoints privados permitem a conectividade entre clientes dentro do mesmo sistema.

      • Rede virtual
      • Redes virtuais emparelhadas regionalmente
      • Redes virtuais interligadas globalmente
      • Ambientes locais que usam VPN ou ExpressRoute
      • Serviços que são alimentados por Private Link
    • As conexões de rede podem ser iniciadas somente por clientes que estão se conectando ao ponto de extremidade privado. Os provedores de serviços não têm uma configuração de roteamento para criar conexões com clientes de serviços. As conexões podem ser estabelecidas em uma única direção.

    • Uma interface de rede somente leitura é criada automaticamente durante o ciclo de vida do ponto de extremidade privado. A interface é atribuída um endereço IP privado dinâmico da subrede que mapeia para o recurso de ligação privada. O valor do endereço IP privado permanece inalterado durante todo o ciclo de vida do ponto de extremidade privado.

    • O ponto de extremidade privado deve ser implementado na mesma região e assinatura que a rede virtual.

    • O recurso de link privado pode ser implantado em uma região diferente daquela da rede virtual e do ponto de extremidade privado.

    • Vários pontos de extremidade privados podem ser criados com o mesmo recurso de ligação privada. Para uma única rede usando uma configuração de servidor DNS comum, a prática recomendada é usar um único ponto de extremidade privado para um recurso de link privado especificado. Use essa prática para evitar entradas duplicadas ou conflitos na resolução de DNS.

    • Vários pontos de extremidade privados podem ser criados na mesma sub-rede ou em sub-redes diferentes dentro da mesma rede virtual. Há limites para o número de pontos de extremidade privados que se pode criar numa assinatura. Para obter mais informações, consulte Limites do Azure.

    • A assinatura que contém o recurso de link privado deve ser registrada no provedor de recursos de rede da Microsoft. A subscrição que contém o ponto de extremidade privado também deve estar registada no fornecedor de recursos de rede da Microsoft. Para obter mais informações, consulte Provedores de recursos do Azure.

    Um recurso de ligação privada é o destino de um ponto de extremidade privado especificado. A tabela a seguir lista os recursos disponíveis que oferecem suporte a um ponto de extremidade privado:

    Nome do recurso de link privado Tipo de recurso Recursos subordinados
    Gateway de Aplicações Microsoft.Network/applicationgateways Nome da configuração de IP de frontend
    Pesquisa de IA do Azure Microsoft.Search/searchServices serviço de busca
    Serviços de IA do Azure Microsoft.CognitiveServices/contas conta
    API do Azure para FHIR (Fast Healthcare Interoperability Resources) Serviços do Microsoft.HealthcareApis FHIR
    Gestão de API Azure Microsoft.ApiManagement/serviço Porta de Entrada
    Configuração da Aplicação Azure Microsoft.Appconfiguration/configurationStores RepositóriosConfigurações
    Serviço de Aplicações do Azure Microsoft.Web/hostingEnvironments ambiente de hospedagem
    Serviço de Aplicações do Azure Microsoft.Web/sítios Sítios Web
    Serviço de Atestado do Azure Microsoft.Attestation/attestationProviders padrão
    Automação do Azure Microsoft.Automation/automationContas Webhook, DSCAndHybridWorker
    Azure Backup Microsoft.RecoveryServices/arquivos AzureBackup, AzureSiteRecovery
    Azure Batch (serviço de processamento em lote da Microsoft) Microsoft.Batch/batchAccounts batchAccount, nodeManagement
    Cache do Azure para Redis Microsoft.Cache/Redis redisCache
    Cache do Azure para Redis Enterprise Microsoft.Cache/redisEnterprise redisEnterprise
    Aplicações de Contentores do Azure Microsoft.App/AmbientesGeridos ambientes geridos
    Registo de Contentores do Azure Microsoft.ContainerRegistry/registries registo
    Base de Dados Azure Cosmos Microsoft.AzureCosmosDB/databaseAccounts SQL, MongoDB, Cassandra, Gremlin, Tabela
    Azure Cosmos DB para MongoDB vCore Microsoft.DocumentDb/mongoClusters mongoCluster
    Azure Cosmos DB para PostgreSQL Microsoft.DBforPostgreSQL/serverGroupsv2 Coordenador
    Explorador de Dados Azure Microsoft.Kusto/clusters aglomerado
    Azure Data Factory Microsoft.DataFactory/Fábricas Fábrica de dados
    Base de Dados Azure para MariaDB Microsoft.DBforMariaDB/servidores mariaDB Server
    Banco de Dados do Azure para MySQL - Servidor Flexível Microsoft.DBforMySQL/flexibleServers Servidor MySQL
    Banco de Dados do Azure para MySQL - Servidor Único Microsoft.DBforMySQL/servidores Servidor MySQL
    Banco de Dados do Azure para PostgreSQL - Servidor flexível Microsoft.DBforPostgreSQL/flexibleServers Servidor PostgreSQL
    Banco de Dados do Azure para PostgreSQL - Servidor único Microsoft.DBforPostgreSQL/servidores Servidor PostgreSQL
    Azure Databricks Microsoft.Databricks/espaços de trabalho databricks_ui_api, browser_authentication
    Serviço de Provisionamento de Dispositivo do Azure Microsoft.Devices/provisioningServices iotDps
    Gémeos Digitais do Azure Microsoft.DigitalTwins/digitalTwinsInstances Interface de Programação de Aplicações (API)
    Grelha de Eventos do Azure Microsoft.EventGrid/domínios domínio
    Grelha de Eventos do Azure Microsoft.EventGrid/tópicos tópico
    Hub de Eventos do Azure Microsoft.EventHub/namespaces espaço de nomes
    Sincronização de arquivos do Azure Microsoft.StorageSync/storageSyncServices Serviço de sincronização de arquivos
    Azure HDInsight Microsoft.HDInsight/clusters aglomerado
    Azure IoT Central Microsoft.IoTCentral/IoTApps IoTApps
    Hub IoT do Azure Microsoft.Devices/IotHubs iotHub [en]
    Azure Key Vault Microsoft.KeyVault/cofres câmara-forte
    Azure Key Vault HSM (módulo de segurança de hardware) Microsoft.Keyvault/managedHSMs HSM
    Serviço Kubernetes do Azure - API do Kubernetes Microsoft.ContainerService/managedClusters gestão
    Azure Machine Learning Microsoft.MachineLearningServices/registos amlregistry
    Azure Machine Learning Microsoft.MachineLearningServices/espaços de trabalho amlworkspace
    Discos Geridos do Azure Microsoft.Compute/diskAccesses disco gerenciado
    Serviços de Multimédia do Azure Microsoft.Media/mediaservices entrega de chaves, evento ao vivo, ponto de extremidade de streaming
    Azure Migrate Microsoft.Migrate/projetosDeAvaliação projeto
    Escopo do Link Privado do Azure Monitor Microsoft.Insights/privatelinkscopes azuremonitor
    Azure Relay Microsoft.Relay/namespaces espaço de nomes
    Azure Service Bus (uma solução de mensageria na nuvem da Microsoft) Microsoft.ServiceBus/namespaces espaço de nomes
    Serviço Azure SignalR Microsoft.SignalRService/SignalR sinalizador
    Serviço Azure SignalR Microsoft.SignalRService/webPubSub WebPubSub
    Base de Dados SQL do Azure Microsoft.Sql/servidores SQL Server (um sistema de gestão de bases de dados) (sqlServer)
    Instância Gerida do Azure SQL Microsoft.Sql/managedInstances managedInstance
    Aplicações Web Estáticas do Azure Microsoft.Web/staticSites staticSites
    Armazenamento do Azure Microsoft.Storage/storageContas Blob (blob, blob_secondary)
    Tabela (tabela, tabela_secundária)
    Fila (fila, fila_secundária)
    Arquivo (arquivo, arquivo_secundário)
    Web (web, web_secondary)
    DFS (dfs, dfs_secondary)
    Sinapse do Azure Microsoft.Synapse/privateLinkHubs Sítio Web
    Azure Synapse Analytics Microsoft.Synapse/workspaces Sql, SqlOnDemand, Desenvolvimento
    Azure AI Video Indexer Microsoft.VideoIndexer/contas conta
    Área de Trabalho Virtual do Azure - grupos de anfitriões Microsoft.DesktopVirtualization/hostpools ligação
    Área de Trabalho Virtual do Azure - espaços de trabalho Microsoft.DesktopVirtualization/workspaces alimentar
    global
    Atualização de Dispositivo para o Hub IoT Microsoft.DeviceUpdate/contas Atualização de Dispositivo
    Conta de Integração (Premium) Microsoft.Logic/integrationAccounts contaDeIntegração
    Microsoft Purview Microsoft.Purview/contas conta
    Microsoft Purview Microsoft.Purview/contas Portais
    Power BI Microsoft.PowerBI/privateLinkServicesForPowerBI Power BI
    Serviço Private Link (seu próprio serviço) Microsoft.Network/privateLinkServices vazio
    Links privados de gerenciamento de recursos Microsoft.Authorization/resourceManagementPrivateLinks Gestão de Recursos

    Nota

    Você pode criar endpoints privados apenas em uma conta de armazenamento General Purpose v2 (GPv2).

    Segurança de rede de terminais privados

    Quando utiliza pontos de extremidade privados, o tráfego é protegido para um recurso de ligação privada. A plataforma valida conexões de rede, permitindo apenas aquelas que alcançam o recurso de link privado especificado. Para aceder a mais subrecursos dentro do mesmo serviço do Azure, são necessários mais endpoints privados com os destinos correspondentes. No caso do Armazenamento do Azure, por exemplo, você precisaria de endpoints privados distintos para acessar os subrecursos de arquivo e de blob.

    Os pontos de extremidade privados fornecem um endereço IP acessível de forma privada para o serviço do Azure, mas não restringem necessariamente o acesso à rede pública a ele. No entanto, todos os outros serviços do Azure exigem controles de acesso adicionais. Esses controles fornecem uma camada de segurança de rede extra para seus recursos, fornecendo proteção que ajuda a impedir o acesso ao serviço do Azure associado ao recurso de link privado.

    Os pontos finais privados suportam políticas de rede. As políticas de rede permitem o suporte para Grupos de Segurança de Rede (NSG), Rotas Definidas pelo Utilizador (UDR) e Grupos de Segurança de Aplicações (ASG). Para obter mais informações sobre como ativar políticas de rede para um ponto final privado, veja Gerir políticas de rede para pontos finais privados. Para utilizar um ASG com um ponto final privado, veja Configurar um grupo de segurança de aplicações (ASG) com um ponto final privado.

    Você pode se conectar a um recurso de link privado usando os seguintes métodos de aprovação de conexão:

    • Aprovar automaticamente: use este método quando possuir ou tiver permissões para o recurso de link privado específico. As permissões necessárias são baseadas no tipo de recurso de link privado no seguinte formato:

      Microsoft.<Provider>/<resource_type>/privateEndpointConnectionsApproval/action

    • Solicitar manualmente: use este método quando não tiver as permissões necessárias e quiser solicitar acesso. Um fluxo de trabalho de aprovação é iniciado. O ponto de extremidade privado e as conexões de ponto de extremidade privado posteriores são criados num estado Pendente. O proprietário do recurso de link privado é responsável por aprovar a conexão. Uma vez aprovado, o ponto de extremidade privado é habilitado para enviar tráfego normalmente, conforme mostrado no diagrama de fluxo de trabalho de aprovação a seguir.

    Diagrama do processo de aprovação do fluxo de trabalho.

    Numa conexão de ponto final privado, um proprietário de recurso de ligação privada pode:

    • Analise todos os detalhes da conexão de ponto final privado.
    • Aprove uma conexão de ponto final privado. O ponto de extremidade privado correspondente está habilitado para enviar tráfego para o recurso de ligação privada.
    • Rejeitar uma conexão de endpoint privado. O ponto de extremidade privado correspondente é atualizado para refletir o status.
    • Excluir uma ligação de ponto final privado em qualquer estado. O ponto de extremidade privado correspondente é atualizado com um estado desconectado para refletir a ação. O proprietário do ponto de extremidade privado pode excluir o recurso apenas neste momento.

    Nota

    Somente pontos de extremidade privados em estado Aprovado podem enviar tráfego para um recurso de ligação privada especificado.

    Conectar-se usando um alias

    Um alias é um apelido exclusivo que é gerado quando um proprietário de serviço cria um serviço de link privado atrás de um balanceador de carga padrão. Os proprietários de serviços podem compartilhar esse alias offline com os consumidores do seu serviço.

    Os consumidores podem solicitar uma conexão com um serviço de link privado usando o URI do recurso ou o alias. Para conectar usando o alias, crie um ponto de extremidade privado usando o método de autorização de conexão manual. Para usar o método de aprovação de conexão manual, defina o parâmetro de solicitação manual como True durante o fluxo de criação de ponto de extremidade privado. Para obter mais informações, consulte New-AzPrivateEndpoint e az network private-endpoint create.

    Nota

    Esta solicitação manual pode ser aprovada automaticamente se a assinatura do consumidor estiver na lista de permissões do provedor. Para saber mais, vá para controlar o acesso ao serviço.

    Configuração do DNS

    As configurações de DNS que você usa para se conectar a um recurso de link privado são importantes. Os serviços existentes do Azure podem já ter uma configuração de DNS que pode utilizar quando estiver a ligar através de um ponto de extremidade público. Para se conectar ao mesmo serviço através do ponto de extremidade privado, são necessárias configurações de DNS separadas, geralmente configuradas por meio de zonas DNS privadas. Verifique se as configurações de DNS estão corretas ao usar o FQDN (nome de domínio totalmente qualificado) para a conexão. As configurações devem apontar para o endereço IP privado do ponto de extremidade privado.

    A interface de rede associada ao ponto de extremidade privado contém as informações necessárias para configurar o seu DNS. As informações incluem o FQDN e o endereço IP privado de um recurso de link privado.

    Para obter informações completas e detalhadas sobre recomendações para configurar o DNS para pontos de extremidade privados, consulte Configuração de DNS de ponto de extremidade privado.

    Limitações

    As informações a seguir listam as limitações conhecidas para o uso de pontos de extremidade privados:

    Endereço IP estático

    Limitação Descrição
    Configuração de endereço IP estático atualmente não suportada. Azure Kubernetes Service (AKS)
    Azure Application Gateway
    HD Insight
    Recovery Services Vaults
    Serviços de Link Privado de Terceiros

    Grupo de segurança de rede

    Limitação Descrição
    As rotas eficazes e as regras de segurança estão indisponíveis para a interface de rede do ponto final privado. As rotas efetivas e as regras de segurança não serão exibidas para a interface de rede do ponto de extremidade privado no portal do Azure.
    Logs de fluxo NSG não suportados. Registos de fluxo NSG indisponíveis para tráfego de entrada destinado a um ponto final privado.
    Não mais de 50 membros em um Grupo de Segurança de Aplicativos. Cinquenta é o número de configurações de IP que podem ser associadas a cada ASG ligado ao NSG na sub-rede de ponto final privado. Podem ocorrer falhas de ligação com mais de 50 membros.
    Intervalos de portas de destino suportados até um fator de 250 K. Os intervalos de portas de destino são suportados como uma multiplicação a SourceAddressPrefixes, DestinationAddressPrefixes e DestinationPortRanges.

    Exemplo de regra de entrada:
    Uma fonte * um destino * 4K portRanges = 4K Válido
    10 fontes * 10 destinos * 10 portRanges = 1 K Válido
    50 fontes * 50 destinos * 50 portRanges = 125 K Válido
    50 fontes * 50 destinos * 100 portRanges = 250 K Válido
    100 fontes * 100 destinos * 100 portRanges = 1M Inválido, NSG tem muitas fontes/destinos/portas.
    A filtragem da porta de origem é interpretada como * A filtragem de porta de origem não é usada ativamente como um cenário válido de filtragem de tráfego para tráfego que tenha como destino um ponto de extremidade privado.
    Recurso indisponível em regiões selecionadas. Atualmente indisponível nas seguintes regiões:
    Índia Ocidental
    Austrália Central 2
    África do Sul Ocidental
    Brasil Sudeste
    Todas as regiões governamentais
    Todas as regiões da China

    Mais considerações sobre NSG

    • O tráfego de saída negado de um ponto de extremidade privado não é um cenário válido, pois o provedor de serviços não pode originar tráfego.

    • Os seguintes serviços podem exigir que todas as portas de destino estejam abertas quando se utiliza um ponto de extremidade privado e se adicionam filtros de segurança NSG:

      • Azure Cosmos DB - Para obter mais informações, consulte Intervalos de portas de serviço.

    UDR

    Limitação Descrição
    Recomenda-se sempre o uso de SNAT. Devido à natureza variável do plano de dados do ponto de extremidade privado, recomenda-se aplicar SNAT ao tráfego destinado a um ponto de extremidade privado para garantir que o tráfego de retorno seja devidamente tratado.
    Recurso indisponível em regiões selecionadas. Atualmente indisponível nas seguintes regiões:
    Índia Ocidental
    Austrália Central 2
    África do Sul Oeste
    Brasil Sudeste

    Grupo de segurança de aplicações

    Limitação Descrição
    Recurso indisponível em regiões selecionadas. Atualmente indisponível nas seguintes regiões:
    Índia Ocidental
    Austrália Central 2
    África do Sul Oeste
    Brasil Sudeste

    Próximos passos